远控免杀专题(25)-Winpayloads免杀(VT免杀率18/70)

admin 2022年9月3日11:43:03程序逆向评论12 views4862字阅读16分12秒阅读模式

声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!

额,工具篇最后一篇了,后面就是shellcode免杀了。

文章打包下载及相关软件下载:https://github.com/TideSec/BypassAntiVirus

本专题文章导航

1.远控免杀专题(1)-基础篇:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg

2.远控免杀专题(2)-msfvenom隐藏的参数:https://mp.weixin.qq.com/s/1r0iakLpnLrjCrOp2gT10w

3.远控免杀专题(3)-msf自带免杀(VT免杀率35/69):https://mp.weixin.qq.com/s/A0CZslLhCLOK_HgkHGcpEA

4.远控免杀专题(4)-Evasion模块(VT免杀率12/71):https://mp.weixin.qq.com/s/YnnCM7W20xScv52k_ubxYQ

5.远控免杀专题(5)-Veil免杀(VT免杀率23/71):https://mp.weixin.qq.com/s/-PHVIAQVyU8QIpHwcpN4yw

6.远控免杀专题(6)-Venom免杀(VT免杀率11/71):https://mp.weixin.qq.com/s/CbfxupSWEPB86tBZsmxNCQ

7.远控免杀专题(7)-Shellter免杀(VT免杀率7/69):https://mp.weixin.qq.com/s/ASnldn6nk68D4bwkfYm3Gg

8.远控免杀专题(8)-BackDoor-Factory免杀(VT免杀率13/71):https://mp.weixin.qq.com/s/A30JHhXhwe45xV7hv8jvVQ

9.远控免杀专题(9)-Avet免杀(VT免杀率14/71):https://mp.weixin.qq.com/s/EIfqAbMC8HoC6xcZP9SXpA

10.远控免杀专题(10)-TheFatRat免杀(VT免杀率22/70):https://mp.weixin.qq.com/s/zOvwfmEtbkpGWWBn642ICA

11.远控免杀专题(11)-Avoidz免杀(VT免杀率23/71):https://mp.weixin.qq.com/s/TnfTXihlyv696uCiv3aWfg

12.远控免杀专题(12)-Green-Hat-Suite免杀(VT免杀率23/70):https://mp.weixin.qq.com/s/MVJTXOIqjgL7iEHrnq6OJg

13.远控免杀专题(13)-zirikatu免杀(VT免杀率39/71):https://mp.weixin.qq.com/s/5xLuu5UfF4cQbCq_6JeqyA

14.远控免杀专题(14)-AVIator免杀(VT免杀率25/69):https://mp.weixin.qq.com/s/JYMq_qHvnslVlqijHNny8Q

15.远控免杀专题(15)-DKMC免杀(VT免杀率8/55):https://mp.weixin.qq.com/s/UZqOBQKEMcXtF5ZU7E55Fg

16.远控免杀专题(16)-Unicorn免杀(VT免杀率29/56):https://mp.weixin.qq.com/s/y7P6bvHRFes854EAHAPOzw

17.远控免杀专题(17)-Python-Rootkit免杀(VT免杀率7/69):https://mp.weixin.qq.com/s/OzO8hv0pTX54ex98k96tjQ

15.远控免杀专题(15)-DKMC免杀(VT免杀率8/55):https://mp.weixin.qq.com/s/UZqOBQKEMcXtF5ZU7E55Fg

16.远控免杀专题(16)-Unicorn免杀(VT免杀率29/56):https://mp.weixin.qq.com/s/y7P6bvHRFes854EAHAPOzw

17.远控免杀专题(17)-Python-Rootkit免杀(VT免杀率7/69):https://mp.weixin.qq.com/s/OzO8hv0pTX54ex98k96tjQ

18.远控免杀专题(18)-ASWCrypter免杀(VT免杀率19/57):https://mp.weixin.qq.com/s/tT1i55swRWIYiEdxEWElSQ

19.远控免杀专题(19)-nps_payload免杀(VT免杀率3/57):https://mp.weixin.qq.com/s/XmSRgRUftMV3nmD1Gk0mvA

20.远控免杀专题(20)-GreatSCT免杀(VT免杀率14/56):https://mp.weixin.qq.com/s/s9DFRIgpvpE-_MneO0B_FQ

21.远控免杀专题(21)-HERCULES免杀(VT免杀率29/70):https://mp.weixin.qq.com/s/Rkr9lixzL4tiL89r10ndig

22.远控免杀专题(22)-SpookFlare免杀(VT免杀率16/67):https://mp.weixin.qq.com/s/LfuQ2XuD7YHUWJqMRUmNVA

23.远控免杀专题(23)-SharpShooter免杀(VT免杀率16/67):https://mp.weixin.qq.com/s/EyvGfWXLbxkHe7liaNFhGg

24.远控免杀专题(24)-CACTUSTORCH免杀(VT免杀率16/67):https://mp.weixin.qq.com/s/g0CYvFMsrV7bHIfTnSUJBw

25.远控免杀专题(25)-Winpayloads免杀(VT免杀率18/70):本文


免杀能力一览表

远控免杀专题(25)-Winpayloads免杀(VT免杀率18/70)

远控免杀专题(25)-Winpayloads免杀(VT免杀率18/70)

几点说明:

1、上表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass。

2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。

3、由于本机测试时只是安装了360全家桶和火绒,所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(2020.01.01),火绒版本5.0.34.16(2020.01.01),360安全卫士12.0.0.2002(2020.01.01)。

4、其他杀软的检测指标是在virustotal.com(简称VT)上在线查杀,所以可能只是代表了静态查杀能力,数据仅供参考,不足以作为免杀或杀软查杀能力的判断指标。

5、完全不必要苛求一种免杀技术能bypass所有杀软,这样的技术肯定是有的,只是没被公开,一旦公开第二天就能被杀了,其实我们只要能bypass目标主机上的杀软就足够了。


一、Winpayloads介绍

Winpayloads,2019年开源的免杀payload生成工具,可以和Msf无缝对接,自身也可以作为独立远控软件来试用。主要是使用python对shellcode进行处理,然后编译成exe文件,从而达到免杀的效果。

二、安装Winpayloads

Winpayloads的常规安装比较复杂,依赖的软件比较多,需要安装winbind、impacket、Wine、wine32、Pywin32、pyinstaller、PsexecSpray、pycrypto等等,所以官方后来直接把常规安装给去掉了,直接建议使用docker,docke安装起来就非常简单了。

两条命令,十来分钟搞定。

docker pull charliedean07/winpayloads:latestdocker run -e LANG=C.UTF-8 --net=host -it charliedean07/winpayloads

远控免杀专题(25)-Winpayloads免杀(VT免杀率18/70)

以后再运行只需要docker run -e LANG=C.UTF-8 --net=host -it charliedean07/winpayloads就可以。

如果真想手动安装,可以查看官方wiki:https://github.com/nccgroup/Winpayloads/wiki/Installation

三、Winpayloads说明

Winpayloads使用了多种技术对shellcode进行处理,进行免杀和后渗透。

1、UACBypass功能:使用了PowerShellEmpire的Invoke-BypassUAC.ps1

2、PowerUp提权:使用了 PowerShellEmpire的PowerUp.ps1

3、Invoke-Shellcode:使用了PowerSploit的Invoke-Shellcode.ps1

4、Invoke-Mimikatz:使用了PowerSploit的Invoke-Mimikatz.ps1

5、Invoke-EventVwrBypass:利用eventvwr绕过uac

6、Persistence权限维持

7、本地web服务器分发payload,使用了SimpleHTTPServer

8、使用Powershell在内存中加载shellcode

9、沙盒检测技术

10、加载自定义的shellcode

11、Psexec Spray成功连接后再目标主机上执行shellcode

四、利用Winpayloads生成后门

我这里以Windows Meterpreter Reverse HTTPS为例进行测试

在主菜单中选择4,然后输入msf监听的IP和端口

远控免杀专题(25)-Winpayloads免杀(VT免杀率18/70)

然后确认是否需要bypassUAC功能,需要的话还要选择操作系统类型,win7或win10,之后就可以生成我们需要的payload文件/root/winpayloads/ibzgrkwc.exe

远控免杀专题(25)-Winpayloads免杀(VT免杀率18/70)

在测试机中执行

远控免杀专题(25)-Winpayloads免杀(VT免杀率18/70)

msf中监听windows/meterpreter/reverse_https可正常上线

远控免杀专题(25)-Winpayloads免杀(VT免杀率18/70)

打开杀软进行测试,火绒和360静态+动态均未报警。

远控免杀专题(25)-Winpayloads免杀(VT免杀率18/70)

virustotal.com平台免杀率为18/70,对exe来说还是不错的。

远控免杀专题(25)-Winpayloads免杀(VT免杀率18/70)

Winpayloads还可以使用Windows Reverse Shell模块直接生成一般的反弹payload,可用nc直接连接

远控免杀专题(25)-Winpayloads免杀(VT免杀率18/70)

nc监听4444端口,在测试机执行dakghzil.exe后可获得shell。

远控免杀专题(25)-Winpayloads免杀(VT免杀率18/70)

virustotal.com平台查杀率也为18/70

远控免杀专题(25)-Winpayloads免杀(VT免杀率18/70)

前面提到Winpayloads自身也可以作为独立远控软件来试用,在主菜单输入stager后,获得一串powershell代码,在测试机中执行后,可直接在Winpayloads中获得交互shell。

远控免杀专题(25)-Winpayloads免杀(VT免杀率18/70)

详细使用可参考https://youtu.be/eRl5H5wHqKY

五、Winpayloads小结

Winpayloads使用比较简便,生成的payload免杀效果也是不错的,使用了多种技术来免杀和实施后渗透,唯一的缺点就是生成的payload都有点偏大,大约2.7M左右。

六、参考资料

Winpayloads - Stager Functionality:https://youtu.be/eRl5H5wHqKY




E




N




D






远控免杀专题(25)-Winpayloads免杀(VT免杀率18/70)


guān




zhù







men





Tide安全团队正式成立于2019年1月,是新潮信息旗下以互联网攻防技术研究为目标的安全团队,目前聚集了十多位专业的安全攻防技术研究人员,专注于网络攻防、Web安全、移动终端、安全开发、IoT/物联网/工控安全等方向。

想了解更多Tide安全团队,请关注团队官网: http://www.TideSec.com 或长按二维码关注公众号:

远控免杀专题(25)-Winpayloads免杀(VT免杀率18/70)




原文始发于微信公众号(白帽子):远控免杀专题(25)-Winpayloads免杀(VT免杀率18/70)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月3日11:43:03
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  远控免杀专题(25)-Winpayloads免杀(VT免杀率18/70) http://cn-sec.com/archives/868601.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: